Tabla de contenido:
- Las 3 verdades críticas de la seguridad centrada en datos
- Datos: Oh, los lugares a los que irá
- El cifrado de datos simplemente no es suficiente
- ¿Quién, cuándo y cuántas veces se accede a los datos?
Gracias a los perímetros muertos, los adversarios persistentes, la nube, la movilidad y traer su propio dispositivo (BYOD), la seguridad centrada en los datos es imprescindible. El principio de seguridad centrada en los datos es simple: si una red se ve comprometida, o un dispositivo móvil se pierde o es robado, los datos están protegidos. Las organizaciones que aceptan este cambio de paradigma se han dado cuenta de la necesidad de agregar control y visibilidad a la seguridad de los datos al ir más allá de las soluciones tradicionales. Adoptar esta visión evolucionada de la seguridad centrada en los datos permite a las organizaciones de todos los niveles proteger los datos confidenciales, prácticamente vinculando esos datos independientemente de dónde residan.
Las soluciones de seguridad centradas en los datos han estado tradicionalmente orientadas hacia el interior y se han centrado en proteger los datos dentro del dominio de la organización a medida que se recopilan y almacenan. Sin embargo, los datos se están alejando del centro de la organización, no hacia ella, y las megatendencias como la nube y la movilidad solo están acelerando el proceso. La seguridad eficaz centrada en los datos protege los datos a medida que se alejan del centro de la organización para ser compartidos y consumidos. Esto incluye relaciones ad-hoc más allá del límite del dominio, lo que permite interacciones seguras con clientes y socios. (Lea un poco sobre la seguridad de TI. Pruebe los 7 principios básicos de seguridad de TI).
Las 3 verdades críticas de la seguridad centrada en datos
Una visión evolucionada de la seguridad centrada en los datos se basa en tres verdades críticas que señalan el camino de cómo se debe implementar la seguridad para que sea efectiva:- Los datos irán a lugares que no conoce, no puede controlar y cada vez más no puede confiar. Esto sucede a través del curso normal de procesamiento, a través del error o complacencia del usuario, o mediante actividad maliciosa. Debido a que los lugares a los que van sus datos pueden no ser confiables, no puede confiar en la seguridad de la red, dispositivo o aplicación para proteger esos datos.
- El cifrado por sí solo no es suficiente para proteger los datos.
El cifrado debe combinarse con controles de acceso persistentes y adaptables que le permitan al creador definir las condiciones bajo las cuales se otorgará una clave y cambiar esos controles según lo dicten las circunstancias.
- Debe haber una visibilidad completa y detallada de quién accede a los datos protegidos, cuándo y cuántas veces.
Esta visibilidad detallada garantiza la auditabilidad de los requisitos reglamentarios y potencia el análisis para una visión más amplia de los patrones de uso y posibles problemas, lo que a su vez mejora el control.
Datos: Oh, los lugares a los que irá
Comenzando con la primera verdad, podemos concluir un estándar operativo pragmático importante: para que la seguridad centrada en los datos sea efectiva, los datos deben estar protegidos en el punto de origen. Si los datos se cifran como el primer paso en el proceso, son seguros sin importar a dónde vayan, en qué red viajan y dónde residen eventualmente. Hacer lo contrario requiere la confianza de cada computadora, cada conexión de red y cada persona desde el punto en que la información abandona el cuidado del autor, y por el tiempo que existan copias.
La protección de datos en el punto de origen supone una gran suposición: su solución de seguridad centrada en datos debe ser capaz de proteger los datos donde quiera que vayan. Como nos dice la primera verdad, los datos y sus muchas copias creadas naturalmente irán a muchos lugares, incluidos dispositivos móviles, dispositivos personales y la nube. Una solución efectiva debe asegurar los datos independientemente del dispositivo, la aplicación o la red. Debe proteger esos datos independientemente de su formato o ubicación, e independientemente de si están en reposo, en movimiento o en uso. Debe extenderse fácilmente más allá del límite del perímetro y ser capaz de proteger los diálogos ad-hoc.
Aquí es donde es útil detenerse y considerar las numerosas soluciones de seguridad centradas en datos específicas de puntos y funciones disponibles en el mercado. Por su propia naturaleza, estas soluciones crean silos de protección porque, como lo dicta la primera verdad crítica, los datos residirán en algún lugar fuera de su alcance de operación. Debido a que estas soluciones carecen de la protección ubicua necesaria, las agencias y las empresas se ven obligadas a erigir múltiples silos. Sin embargo, a pesar de los mejores esfuerzos de estos múltiples silos, los resultados son predecibles: los datos seguirán estando entre los vacíos. Y estas brechas son precisamente donde los adversarios externos y los internos malintencionados están al acecho para explotar vulnerabilidades y robar datos. Además, cada silo representa costos reales en la adquisición, implementación y soporte de la solución asociada, y la carga operativa de administrar múltiples soluciones. (Más reflexión: la brecha de seguridad de datos que muchas empresas pasan por alto).
El cifrado de datos simplemente no es suficiente
La segunda verdad afirma que el cifrado por sí solo no es suficiente: debe combinarse con controles granulares y persistentes. El acto de compartir contenido efectivamente entrega el control sobre él, esencialmente haciendo que el destinatario sea copropietario de los datos. Los controles permiten al creador establecer las condiciones bajo las cuales se le otorga al destinatario una clave para acceder al archivo y la opción de dictar lo que el destinatario puede hacer una vez que se accede a los datos. Esto incluye la opción de proporcionar capacidad de solo lectura donde el destinatario no puede guardar el archivo, copiar / pegar contenido o imprimir el archivo.
El término "persistente" es una característica crítica de los controles de acceso necesarios para una seguridad eficaz centrada en los datos. Los datos permanecen prácticamente atados al creador, que puede responder a los requisitos o amenazas cambiantes revocando el acceso o alterando las condiciones de acceso en cualquier momento. Estos cambios deben aplicarse instantáneamente a todas las copias de los datos, donde sea que residan. Recuerde que la primera verdad establece que los datos pueden estar en lugares que el autor no conoce o sobre los cuales no puede ejercer control. Por lo tanto, no se puede asumir el conocimiento previo de dónde residen los datos y el acceso físico a los dispositivos asociados. El control persistente tiene la ventaja adicional de abordar la revocación de datos en dispositivos perdidos o robados que probablemente nunca volverán a estar en contacto con la red.
La adaptabilidad es una característica crítica que diferencia simultáneamente las soluciones de la competencia y respalda el caso de un enfoque unificado y ubicuo. No todas las soluciones de seguridad centradas en datos se crean de la misma manera, ya que algunas utilizan métodos de encriptación inventados antes de la movilidad, la nube y la amplia adopción de Internet. Con estos métodos, los controles de acceso se establecen en el momento en que los datos se cifran, pero carecen de los beneficios que conlleva el control persistente.
¿Quién, cuándo y cuántas veces se accede a los datos?
La tercera verdad de la seguridad efectiva centrada en los datos es la necesidad absoluta de una visibilidad y auditabilidad integrales. Esto incluye la visibilidad de todas las actividades de acceso para cada objeto de datos, autorizados y no autorizados. También incluye visibilidad de cualquier tipo de datos, dentro y fuera de los límites del perímetro. Los datos completos de auditoría y el no rechazo permiten a una organización saber quién está usando los datos, cuándo y con qué frecuencia. La visibilidad potencia el control, brindando a las organizaciones la información para dar respuestas rápidas y bien informadas a los incesantes intentos de extraer información. Esta visibilidad debe extenderse al ecosistema de seguridad más amplio de la organización, proporcionando los datos a las herramientas de información de seguridad y gestión de eventos (SIEM) y análisis operativos. A su vez, la correlación y el análisis pueden proporcionar información como la identificación de posibles intrusos maliciosos.
Serás violado. Cada capa de defensas de seguridad de TI puede y se verá comprometida. Las organizaciones ya no pueden confiar en la seguridad del perímetro para proteger los datos confidenciales y la propiedad intelectual. Deben buscar enfoques alternativos para proteger la información confidencial. No son solo las defensas perimetrales las que están luchando, ya que muchas soluciones de seguridad centradas en los datos se crearon antes de la movilidad, BYOD, la nube y las interacciones de dominio extra basadas en la nube. Las organizaciones deben recurrir a soluciones de seguridad centradas en los datos que adopten una visión evolucionada, que aborden plenamente las verdades difíciles de proteger los datos en el entorno informático altamente complejo y que cambia rápidamente.